近日，网络安全&垃圾邮件防护公司 Proofpoint 发现了一种利用钢琴主题的信息实施预付款欺诈（AFF）的恶意电子邮件活动。 这些活动至少从 2024 年 1 月开始活跃，主要针对北美高校的学生和教师。不过，医疗保健、食品饮料和服务等行业也受到了影响。据 Proofpoint 称，今年到目前为止，已观察到超过 12.5 万封与该诈骗集群有关的电子邮件。 在这些欺骗性电子邮件中，欺诈者通常以家庭成员去世等个人情况为由提供免费钢琴。然后，受骗者会被引导至一家同样由欺诈者的虚假运输公司，该公司要求受骗者在钢琴发货之前支付运费。 诈骗者接受各种付款方式，包括 Zelle、Cash App、PayPal、Apple Pay 和加密货币。此外，他们还试图收集受骗者的个人信息，如姓名、地址和电话号码。 此次调查中的一个显著发现是欺诈者使用的比特币钱包，该钱包已经处理了超过 90 万美元的交易。巨大的交易量表明，可能有多个威胁行为者在使用这个钱包进行各种诈骗。 尽管电子邮件内容统一，但发件人地址各不相同，由姓名和号码组合而成，通常使用免费电子邮件服务。这些活动还以电子邮件内容和联系地址的多次迭代为特色。 为了进一步深入了解这些诈骗者，Proofpoint 利用研究人员管理的重定向服务捕获了一名犯罪者的 IP 地址和设备信息，这些数据帮助研究人员确认了部分行动是在尼日利亚进行的。 预付费诈骗也称为 419 诈骗，通常是诈骗者要求预付小额款项，以换取承诺的大额报酬。这些骗局通常包括关于遗产、工作机会或其他有利可图的复杂故事。一旦受害者支付了首笔款项，骗子就会停止一切联系，携款消失。 这些欺诈行为严重依赖社交工程和多样化的付款方式。正因为如此，Proofpoint 公司提醒公众保持警惕。该公司建议人们了解黑客使用的常见技术，并警告他们如果一封未经请求的电子邮件听起来好得不像真的，那么它很大可能确实是假的。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402361.html 封面来源于网络，如有侵权请联系删除

Fortinet FortiSIEM 产品的一个关键漏洞出现了一个可行的攻击（PoC），这为更广泛的攻击提供了更多机会。 该漏洞被追踪为 CVE-2024-23108，于今年 2 月披露并修复，同时修复的还有与其相关的另一个漏洞 CVE-2024-23109。这两个漏洞在 CVSS 评分系统中的最高严重性评分均为 10 分，都是未经身份验证的命令注入漏洞，攻击者可能利用伪造的 API 请求实现远程代码执行（RCE）。 据 Horizon3AI 的研究人员称，该漏洞被他们称为“NodeZero”，允许用户“以 root 身份在受影响的 FortiSIEM 设备上盲目执行命令”。在 PoC 中，他们使用该漏洞加载了一个用于后继活动的远程访问工具。 FortiSIEM 是 Fortinet 的安全信息和事件管理（SIEM）平台，用于支持企业网络安全运营中心。因此，如果该平台被攻破，攻击者可以以此为跳板进一步入侵企业环境。 受漏洞影响的 FortiSIEM 版本包括 7.1.0 至 7.1.1、7.0.0 至 7.0.2、6.7.0 至 6.7.8、6.6.0 至 6.6.3、6.5.0 至6.5.2 以及 6.4.0 至 6.4.2，用户应立即打上补丁，以避免受到威胁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402244.html 封面来源于网络，如有侵权请联系删除

“四大”会计师事务所之一的普华永道（PwC）遭遇数据泄露，18900份内部档案被公开，文件大小共222GB。 据知道创宇暗网雷达监测显示， “四大”会计师事务所之一普华永道的18900份内部档案被公开，文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 知道创宇暗网雷达截图 据了解， 普华永道（PwC）是全球四大会计师事务所之一，提供广泛的专业服务，包括审计、税务、咨询和法律服务。该事务所在全球157个国家设有办事处，雇佣了超295000名员工。 2024年3月，一名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，包括普华永道等知名企业的域名遭到劫持。 2023年8月14日，由于普华永道使用的MOVEit软件存在安全漏洞，导致波多黎各自治区人民银行的82217名储户的个人信息被泄露。 相关资讯链接： 多家知名品牌子域名被劫持发送海量诈骗邮件 普华永道踩坑 MOVEit 漏洞，泄露银行 8 万名储户的信息   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

近日，TP-Link Archer C5400X 游戏路由器被曝存在高危安全漏洞，未经认证的远程威胁攻击者能够通过发送特制请求，在受影响设备上任意执行代码。 据悉，安全漏洞被追踪为 CVE-2024-5035，CVSS 评分为 10.0，主要影响包括 1_1.1.6 及之前版本在内的所有版本的 TP-Link Archer C5400X 游戏路由器固件。鉴于 CVE-2024-5035 安全漏洞的影响范围广、危害程度大、可利用性高等特点，TP-Link 方面在 2024 年 5 月 24 日发布的 1_1.1.7 版本中，修补了安全漏洞。 CVE-2024-5035 安全漏洞详情 CVE-2024-5035 安全漏洞产生的根源在于一个与射频测试 “rftest ”相关的二进制文件，该文件在启动时暴露了 TCP 端口 8888、8889 和 8890 上的网络监听器，从而允许未经认证威胁攻击者，能够远程轻松执行任意代码。 虽然该网络服务被设计为只接受以 “wl ”或 “nvram get ”开头的命令，但网络安全公司 ONEKEY 发现，只要在 shell 元字符（如 ; 、& 或 |）（如 “wl;id;”）之后注入命令，就可以轻松绕过这一限制。TP-Link 公司在版本 1_1.1.7 Build 20240510 的更新中，通过丢弃任何包含这些特殊字符的命令解决该漏洞。 近段时间，TP-Link 公司频频爆出安全漏洞问题，在 CVE-2024-5035 安全漏洞披露的前几周，TP-Link 公司还披露了台达电子 DVW W02W2 工业以太网路由器和 Ligowave 网络设备中存在的两个安全漏洞，分别被追踪为 CVE-2024-3871 和 CVE-2024-4999，远程威胁攻击者能够利用这些安全漏洞，提升的自身权限，执行任意远程命令。 更糟糕的是，由于 TP-Link 公司不再对上述两个安全漏洞进行积极维护，导致受影响的相关设备仍未打补丁。因此，用户必须采取适当措施限制管理界面的暴露，以最大程度上降低威胁攻击者利用安全漏洞的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402141.html 封面来源于网络，如有侵权请联系删除

据黑客新闻（The Hacker News）消息，中国安全厂商奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。 奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE 和 Zyxel 等厂商的路由器、网络设备。 奇安信和绿盟科技曾在 2023 年8月首次观测到 CatDDoS，将其描述为能够使用 UDP、TCP 和其他方法执行 DDoS 攻击的 Mirai 僵尸网络变体。除了使用 ChaCha20 算法加密与 C2 服务器的通信外，它还利用 C2 的 OpenNIC 域来试图逃避检测，这一技术也曾被另一个基于 Mirai 的 DDoS 僵尸网络 Fodcha 采用。 根据绿盟科技截至 2023 年 10 月共享的信息，该恶意软件的大多数攻击目标位于中国，其次是美国、日本、新加坡、法国、加拿大、英国、保加利亚、德国、荷兰和印度。X实验室表示，这些攻击涵盖云服务提供商、教育、科学研究、信息传输、公共管理、建筑等行业。 CatDDoS攻击趋势数据 虽然CatDDoS被怀疑已在2023年12月中止了攻击活动，但源代码已被放在了Telegram 群组中出售，进而后续出现了如RebirthLTD、Komaru、Cecilio Network等攻击变种。尽管不同的变种管理方式不同，但在代码、通信设计、字符串、解密方法等方面几乎没有变化。 另一种威胁—— DNSBomb 就在研究人员披露CatDDoS僵尸网络之际，一种被称为DNSBomb的脉冲式拒绝服务技术（PDoS）也浮出水面。该攻击利用合法的 DNS 功能，例如查询速率限制、查询-响应超时、查询聚合和最大响应大小设置，使用恶意设计的权威服务器和易受攻击的递归解析器创建定时响应泛洪。 清华大学NISL实验室博士生李想表示，DNSBomb 利用多种广泛实现的 DNS 机制来累积以低速率发送的 DNS 查询，将查询放大为大型响应，并将所有DNS响应集中到一个短而大容量的周期性脉冲爆发以压倒目标系统，所进行的小规模实验表明，峰值脉冲幅度可以接近8.7Gb/s，带宽放大因子可以超过2万倍。 由于DNSBomb 旨在通过周期性爆发的放大流量来淹没目标，因此难以对这些流量进行检测。 目前该研究已于2023年10月公布在上海举行的GEEKCON 2023活动中，并在2024年5月20日至23日举行的旧金山第45届IEEE安全与隐私研讨会上再次发表。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402138.html 封面来源于网络，如有侵权请联系删除

数周前被FBI查封的勒索软件泄露数据交易暗网站点BreachForums，如今再次上线。 本周二，BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 5月15日，BreachForums网站和其Telegram频道被查封，两者均显示“现在由FBI控制”的警告。此外，FBI还在BreachForums网站上展示了其管理员Baphomet和ShinyHunters的头像被关在监狱里的图片，许多信息安全观察人士因此认为他们都已被逮捕。 但ShinyHunters团队声称自己毫发无损，并炫耀称其成员没有任何人被捕。 据Hackread.com的报道，ShinyHunters在FBI查封后的第二天重新获得了对BreachForums网站和一个新的暗网域名的访问权。 与此同时，美国司法部或FBI都没有发布关于查封BreachForums的官方声明——这与过去几年高调打击网络犯罪的行事风格不同。FBI也拒绝对之前的查封或BreachForums的重新发表评论。 BreachForums是2022年关闭的RaidForums的替代品，上线至今一直是最令警方头痛的暗网市场。 FBI曾于2023年6月查封了早期版本的BreachForums。其前管理员Conor Brian Fitzpatrick（又名“Pompourin”）被捕，并于今年1月被判处20年监督释放。然而，该网站卷土重来，这次由不同的管理员掌控，但仍然充当勒索软件经纪人。 “BreachForums的重组并不令人意外，”前FBI特工、现任BlueVoyant全球专业服务负责人Austin Berglas表示。 “完全捣毁一个在线有组织犯罪集团极其困难。要确保所有有访问权限的人员都被拘留和离线，识别并查封关键基础设施，包括摧毁整个犯罪组织的金融、技术和通信网络。” “尽管执法部门可能查封主要域名和相关服务器，但可能存在未识别的备份服务器和域名，必要时可以启用，或者之前未识别的个人可能拥有行政或技术访问权限，可以在查封或关闭后使用。”Berglas补充道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EonbSdqw0qrrUV2Xy-DXOA 封面来源于网络，如有侵权请联系删除

与巴基斯坦有联系的“Transparent Tribe（透明部落）”APT组织涉嫌对印度政府、国防和航空航天部门发动一系列新攻击，这些攻击使用 Python、Golang 和 Rust 编写的跨平台恶意软件。 黑莓研究和情报团队在上周初发布的技术报告中表示：“这一系列活动从 2023 年底持续到 2024 年 4 月，预计还会持续下去。” 此次鱼叉式网络钓鱼活动还因滥用 Discord、Google Drive、Slack 和 Telegram 等流行的在线服务而引人注目，这再次凸显了攻击者如何将合法程序纳入其攻击流程。 据黑莓称，此次电子邮件攻击的目标包括三家公司，它们是国防生产部（DDP）的重要利益相关者和客户。这三家目标公司的总部均位于印度班加罗尔市。 虽然没有透露公司名称，但有迹象表明这些电子邮件针对的是全球最大的航空航天和国防公司之一印度斯坦航空有限公司（ HAL ） 、国有航空航天和国防电子公司巴拉特电子有限公司（ BEL ）以及生产土方设备的国有企业BEML 有限公司。 透明部落APT组织受到全球网络安全社区的普遍关注，其名称包括 APT36、Earth Karkaddan、Mythic Leopard、Operation C-Major 和 PROJECTM。 该组织据信至少自 2013 年以来一直活跃，曾对印度政府、军队和教育机构进行网络间谍活动，此外还针对巴基斯坦、阿富汗、伊拉克、伊朗和阿拉伯联合酋长国的受害者开展过高度针对性的移动间谍软件活动。 此外，该组织还不断尝试新的入侵方法，多年来不断尝试不同的恶意软件，多次迭代其策略和工具包以逃避检测。 Transparent Tribe 使用的一些著名恶意软件家族包括 CapraRAT、CrimsonRAT、ElizaRAT、GLOBSHELL、LimePad、ObliqueRAT、Poseidon、PYSHELLFOX、Stealth Mango 和 Tangelo，后两者与位于拉合尔的一个自由开发团队有关。 移动安全公司 Lookout早在 2018 年就指出，这些开发人员“可供雇用”，并且“至少有一名政府雇员兼职担任移动应用程序开发人员” 。 该组织发起的攻击链涉及使用鱼叉式网络钓鱼电子邮件，通过恶意链接或 ZIP 存档传递有效载荷，由于印度政府严重依赖基于 Linux 的操作系统，他们特别专注于分发 ELF 二进制文件。 感染最终部署三种不同版本的 GLOBSHELL，这是一种基于 Python 的信息收集实用程序， Zscaler之前曾记录过针对印度政府组织内 Linux 环境的攻击。此外，还部署了 PYSHELLFOX 来窃取 Mozilla Firefox 浏览器的数据。 BlackBerry 表示，它还发现了来自攻击者控制的域“apsdelhicantt[.]in”的 bash 脚本版本和基于 Python 的 Windows 二进制文件： swift_script.sh，GLOBSHELL     的 bash 版本 Silverlining.sh     ，一个名为Sliver的开源命令与控制 (C2) 框架 swift_uzb.sh，一个用于从连接的     USB 驱动器收集文件的脚本 afd.exe，一个中间可执行文件，负责下载     win_hta.exe 和 win_service.exe win_hta.exe 和     win_service.exe，两个 Windows 版本的 GLOBSHELL GLOBSHELL for Windows的攻击链 DSOP_Fund_Nomination_Form攻击链和核心功能 作为透明部落战术演变的标志，人们观察到 2023 年 10 月策划的网络钓鱼活动利用 ISO 映像文件部署了基于 Python 的远程访问木马，该木马使用 Telegram 进行 C2 通信。 使用 ISO 映像文件的攻击链 值得指出的是，使用 ISO 文件诱饵攻击印度政府实体是一种自今年年初以来就观察到的做法，这是两起可能相关的入侵事件的一部分 —— 加拿大网络安全公司表示，这种作案手法“具有透明部落攻击链的标志”。 进一步的基础设施分析还发现了一个由 Golang 编译的“一体化”程序，该程序能够查找和窃取具有流行文件扩展名的文件、截取屏幕截图、上传和下载文件以及执行命令。 该间谍工具是开源项目Discord-C2的修改版本，它接收来自 Discord 的指令并通过 ZIP 存档中的 ELF 二进制下载程序传送。 黑莓表示：“透明部落一直将印度国家安全的关键部门作为攻击目标。该组织继续使用一套核心战术、技术和程序 (TTP)，并随着时间的推移不断进行改进。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9lp9towmpMrHMMKbRE654A 封面来源于网络，如有侵权请联系删除

英国承诺投入 850 万英镑资助旨在应对包括深度伪造在内的网络威胁的新型人工智能安全研究。技术部长米歇尔·多尼兰 (Michelle Donelan) 在人工智能首尔峰会上宣布，研究资助将重点关注“系统性人工智能安全”，即了解如何更好地保护社会免受人工智能风险并利用该技术的优势。 该研究项目将由英国政府人工智能安全研究所的研究员 Shahar Avin 领导，并与英国研究与创新局和阿兰图灵研究所合作开展。虽然申请人必须居住在英国，但鼓励他们与世界各地人工智能安全研究所的其他研究人员合作。 人工智能对经济和社会稳定构成双重威胁。一方面，人工智能系统可能成为即时注入和数据中毒等技术的目标；另一方面，黑客自己也可以利用该技术来获取优势。 英国国家网络安全中心 (NCSC)一月份警告称 ，恶意人工智能的使用“几乎肯定”会导致未来两年网络攻击的数量和影响增加，特别是勒索软件。 事实上，合规专家 ISMS.online本周发布的新研究显示，30% 的信息安全专业人士在过去 12 个月中经历过与深度伪造相关的事件，这是继“恶意软件感染”之后第二受欢迎的答案。 与此同时，四分之三（76%）的受访者声称人工智能技术正在改善信息安全，64%的受访者表示他们将在未来一年相应增加预算。 人工智能安全研究所研究主任克里斯托弗·萨默菲尔德 (Christopher Summerfield) 声称，新资金代表着确保人工智能在社会中安全部署的“重要一步”。 他补充道：“我们需要仔细思考如何调整我们的基础设施和系统，以适应人工智能融入我们所做的一切的新世界。” “这个计划旨在产生大量关于如何解决这个问题的想法，并帮助确保伟大的想法能够付诸实践。” 该研究所已经对人工智能威胁进行了有价值的研究。周一发布的 5 月份更新显示，四个最常用的生成式人工智能聊天机器人很容易受到基本越狱尝试的攻击。 英国和韩国昨天称赞 16 家主要人工智能公司签署了安全开发人工智能模型的新承诺，这是“历史性的第一次”。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TjnGpzPchxF-LgzUKZKqBA 封面来源于网络，如有侵权请联系删除

近日，美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统（WPS）存在安全设计缺陷，可用于大规模监控全球用户（不使用苹果设备的人也会被监控），从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位：可监控全球数亿台设备 随着人们对位置服务的需求日益增加，移动设备也更依赖于频繁且精准的地理位置信息。这些服务包括地图导航、广告推送、游戏定位以及丢失或被盗设备追踪（例如苹果的“查找我的设备”功能）。然而，由于耗电量过高，GPS并不能满足如此频繁的定位需求。 为解决这一难题，苹果和谷歌等科技巨头推出了基于Wi-Fi的定位系统(WPS)。该系统允许移动设备通过查询服务器上的Wi-Fi接入点信息来获取自身位置。简单来说，使用过GPS定位的移动设备会定期向WPS上报所观察到的Wi-Fi接入点的MAC地址（即BSSID）及其对应的GPS坐标。WPS服务器会存储这些上报的BSSID位置信息。 之后，其他不使用GPS的移动设备也可以通过查询WPS服务获取位置信息。设备查询涉及发送附近BSSID及其信号强度的列表到WPS。 总之，WPS为客户端设备提供了一种比全球定位系统（GPS）更节能的定位方式。对于移动设备，WPS的耗电量也显著低于GPS。苹果是几家运营WPS的大型科技公司之一，其他公司还包括谷歌、Skyhook等。 由于常用的WPS系统（尤其是苹果和谷歌的系统）都是公开可访问的，并且不会要求查询数据库的设备证明其确实能看到所声称的BSSID。换句话说，任何人都可以通过查询任意MAC地址来定位跟踪个人（如果该地址存在于WPS数据库中，服务器就会返回其位置信息）。 例如，遭受伴侣暴力的人搬到了一个未公开的地址，他们的前伴侣可以通过BSSID定期查询WPS，直到受害者的Wi-Fi接入点（或旅行调制解调器、启用Wi-Fi的电视等）的位置出现，从而泄露受害者的位置信息。 通常来说，这种基于BSSID查询的WPS定位需要攻击者事先了解目标信息（例如MAC地址），并且攻击对象仅限单个目标。 近日，在题为《通过Wi-Fi定位系统监视大众》的论文中，美国马里兰大学博士生ErikRye和副教授DaveLevin介绍了一种全新的苹果WPS查询方法，可被滥用于大规模监视，甚至不使用苹果手机（以及Mac电脑和iPad等苹果设备）的人也可被监控。 这种全新的WPS查询方法能够监控全球范围内的设备，并可以详尽地跟踪设备进入和离开目标地理区域。研究者对苹果WPS提供的数据进行了系统的实证评估，发现这些数据涵盖了数亿台设备，并且允许我们监控Wi-Fi接入点和其他设备的移动情况。 苹果的WPS最危险 根据论文描述，WPS一般以两种方式之一作出响应。 WPS定位主要又两种工作方式：要么计算客户端位置并返回这些坐标，要么返回提交的BSSID的地理位置（与AP硬件相关联），并让客户端进行计算以确定其位置。谷歌的WPS采用前者，而苹果的WPS采用后者。 研究人员指出，谷歌和苹果的WPS系统在基本工作原理上有根本区别，苹果的系统由于其开放性，为安全研究人员和潜在的攻击者提供了进行这项研究的途径。 研究人员指出，苹果的WPS系统特别“热情健谈”（下图）： 论文指出：“除了客户端提交的BSSID的地理位置，苹果的API还会随机性地返回多达数百个附近BSSID的地理位置。” “在苹果的WPS版本中，用户提交BSSID进行地理定位，苹果WPS则会返回其认为的BSSID位置，同时返回的还包括用户未请求的多达400个附近BSSID的位置。这400个额外的BSSID对于安全研究人员/黑客的研究非常重要，因为它们允许研究人员在短时间内积累大量的地理定位BSSID。此外，苹果的WPS服务接口没有设置认证或速率限制，可以免费使用。” 相比之下，谷歌的WPS则仅返回计算出的位置，并且经过认证、速率限制和收费，使得进行类似攻击或安全研究变得难以负担，因此比苹果的WPS要安全得多。 俄乌战争和以色列哈马斯冲突实战案例 利用苹果WPS系统的设计缺陷，Rye和Levin获取并编译了一个包含4.9亿个BSSID的全球数据库，从而可以追踪全球大量个人和人群（包括军事人员）的移动。 论文解释道：“由于苹果WPS的精度在几米范围内，这使我们在许多情况下能够识别出AP所在的个人家庭或企业。出于对用户隐私的尊重，我们在本研究中审查的案例中不包括可能公开识别个人的例子。” 尽管如此，研究人员表示，使用论文中描述的技术“显然有可能”确定个人或他们所属群体的身份，“可以精确到个人姓名、军事单位和基地，甚至是房车停车场。” 为了进一步展示利用WPS进行开源情报(OSINT)潜在的攻击手法，研究者分享了几个重点案例研究，包括： 俄乌战争：研究者首先利用苹果的WPS分析了进出乌克兰和俄罗斯的设备移动情况，从而获得了有关正在进行的战争的一些见解（这些见解尚未公开）。研究者发现疑似军用人员将个人设备带入战区，暴露了预部署地点和军事阵地。研究结果还显示了一些离开乌克兰并前往世界各地的人员信息，这验证了有关乌克兰难民重新安置地点的公开报道。 以色列-哈马斯加沙战争：研究者使用苹果的WPS追踪加沙地带居民的离境和迁徙情况，以及整个加沙地带设备的消失情况。该案例研究表明，研究者可以利用苹果的WPS数据跟踪大规模停电和设备丢失事件。更糟糕的是，被追踪设备的用户从未选择加入苹果的WPS，在研究者进行这项研究时也没有退出机制。仅仅处于苹果设备的Wi-Fi范围内，就可能导致设备的位置和移动信息被广泛公开。事实上，研究者在苹果的WPS中识别了来自1万多家不同厂商的设备。 防御措施：IEEE不作为，马斯克遭到表扬 研究团队已将发现报告给苹果、Starlink和GL.iNet，并建议通过在AP的WiFi网络名称中添加“_nomap”字符串来防止BSSID进入WPS数据库。苹果已在其隐私和位置服务帮助页面中增加了对“_nomap”的支持，而谷歌和WiGLE则早在2016年就已支持这一措施。 此外，研究人员建议实施BSSID随机化，以防止通过WPS追踪。这一措施得到了SpaceX产品安全团队的迅速响应，他们在所有Starlink设备中加快了BSSID随机化的实施步伐。然而，GL-iNet对这一建议的反应不积极，表示暂无计划部署该防御措施。 尽管目前业界尚未意识到将BSSID随机化纳入WiFi标准工作的重要性和紧迫性，研究人员希望这项研究能引起IEEE技术专家的重视，推动这一问题的解决，就像过去推动MAC地址随机化那样。 Rye指出：“BSSID随机化是防止通过WPS追踪的最有效的防御措施，因为每次设备启动（或移动位置）时生成一个随机标识符，将使其在WPS中看上去像是一个完全不同的设备。” Rye还称赞了SpaceX的产品安全团队迅速解决这一问题并在其产品中实施BSSID随机化的举措。 Rye透露：“在我们的研究期间，一些厂商的产品已经开始实施BSSID随机化，但星链对安全的重视程度显然更高；与研究者交流后，星链加快了在所有星链设备上实施的步伐。值得注意的是，这一漏洞并非由SpaceX引起（他们无法控制苹果或谷歌的行为），但他们仍然及时且正确地解决了这一问题。” 研究人员还通知了旅行路由器制造商GL-iNet，但该公司反应不积极。Rye表示：“他们承认了研究者的担忧以及随机化BSSID的解决方案，但告诉我们他们没有计划部署该防御措施。” Rye计划在8月的黑帽大会上展示这篇论文。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16457.html 封面来源于网络，如有侵权请联系删除

据观察，威胁行为者利用伪装成 Avast、Bitdefender 和 Malwarebytes 合法防病毒解决方案的虚假网站来传播能够从 Android 和 Windows 设备窃取敏感信息的恶意软件。 Trellix 安全研究员 Gurumoorthi Ramanathan表示：“通过看似合法的网站托管恶意软件对普通消费者来说是一种掠夺行为，尤其是那些希望保护其设备免受网络攻击的消费者。” 网站列表如下 ： avast-securedownload[.]com，用于以 Android 包文件（“Avast.apk”）的形式传播SpyNote 木马，一旦安装，就会请求侵入性权限以读取短信和通话记录、安装和删除应用程序、截屏、跟踪位置，甚至挖掘加密货币 bitdefender-app[.]com，用于传递 ZIP 存档文件（“setup-win-x86-x64.exe.zip”），该文件会部署Lumma信息窃取恶意软件 malwarebytes[.]pro，用于传递 RAR 存档文件（“MBSetup.rar”），该文件会部署StealC信息窃取恶意软件 该网络安全公司表示，还发现了一个名为“AMCoreDat.exe”的恶意 Trellix 二进制文件，该二进制文件可作为投放窃取恶意软件的渠道，该恶意软件能够收集受害者信息（包括浏览器数据），并将其泄露到远程服务器。 目前尚不清楚这些虚假网站是如何传播的，但过去类似的活动曾采用恶意广告和搜索引擎优化（SEO）投毒等技术。 窃取恶意软件日益成为一种常见威胁，网络犯罪分子宣传了各种复杂程度的自定义变种。其中包括Acrid、SamsStealer、ScarletStealer和Waltuhium Grabber等新型窃取恶意软件，以及SYS01stealer（又名 Album Stealer 或S1deload Stealer）等现有恶意软件的更新版本。 转自E安全，原文链接：https://mp.weixin.qq.com/s/M844BZdb8O9NWaYA1y2Drw 封面来源于网络，如有侵权请联系删除